一种远控类木马清除方法及装置与流程

本发明涉及网络空间安全技术领域，特别涉及一种远控类木马清除方法及装置。

背景技术：

现今社会，随着科技的高速发展，接入互联网的设备也越来越多，设备上运行的服务也丰富多样，庞大的互联网市场带来巨大的商机，同时也隐藏着巨大的危险，木马病毒就是其中一种。

计算机中的木马通常包括两部分：主控端和被控端，主控端通过将木马植入被控端，通过网络通信，主控端向被控端发送控制命令，被控端接收并执行，从而达到控制被控端的目的，而往往被控端用户无法发现自己已经被控制，其输入的敏感信息和文档资料等会被对方窃取，造成极大的损失。

目前针对远控类木马清除的现有技术中，侧重于通过网络IP封堵或恶意流量清洗的方法，达到阻止在网络侧的被控端和主控端之间的连接。但是即使将主控端与被控端之间的连接阻止，被控端上依然运行着木马程序，这些木马程序有机会通过不同的渠道，例如：上线IP更新，通信协议更新等实现自我更新，重新上线与主控端连接，继续控制被控端。

技术实现要素：

为了解决上述问题，本发明提供了一种远控类木马清除方法及装置，通过中间人攻击方法模拟主控端向被控端的木马发送销毁指令，达到彻底清除木马程序的目的。

所述技术方案如下：

第一方面，提供了一种远控类木马清除方法，其特征在于，所述方法包括：

获取网络流量中的至少一个数据包；

根据预设的通信特征规则库对所述至少一个数据包进行匹配，得到命中的数据包；

将包括所述命中的数据包的流量牵引至远控类木马反制装置；

所述远控类木马反制装置通过流量回注与所述远控类木马的被控端建立连接并发送自销毁指令；

所述远控类木马接收所述自销毁指令后执行销毁。

结合第一方面，在第一种可能的实施方式中，在所述根据预设的通信特征规则库对所述至少一个数据包进行匹配，得到命中的数据包之前，所述方法还包括：

提取payload中至少一段字节码作为主要特征；

提取网络报文中的至少一个属性特征；

将所述主要特征和所述属性特征组合形成识别远控类木马的通信特征。

结合第一方面，在第二种可能的实施方式中，所述根据预设的通信特征规则库对所述至少一个数据包进行匹配，得到命中的数据包包括：

对所述数据包进行重组、解压和解密，并与所述预设的通信特征规则库中的通信特征进行匹配；

若所述数据包中通信特征与所述预设的通信特征规则库中的通信特征相同，则判定所述数据包为所述命中的数据包。

结合第一方面，在第三种可能的实施方式中，所述将包括所述命中的数据包的流量牵引至远控类木马反制装置包括：

根据反制策略，得到所述流量的信息；

根据所述流量的信息将所述流量牵引至远控类木马反制装置；其中，所述流量的信息包括根据反制策略得到的远控类木马种类、远控类木马版本和协议端口中的任意一种或多种的组合。

结合第一方面，在第四种可能的实施方式中，所述远控类木马反制装置通过流量回注与所述远控类木马的被控端建立连接并发送自销毁指令包括：

所述远控类木马反制装置模拟所述远控类木马的主控端；

当接收包括所述命中的数据包的流量后，建立与所述远控类木马的被控端之间的连接；

向所述远控类木马的被控端发送所述自销毁指令；其中，所述远控类木马反制装置包括至少一种远控类木马的主控端的通信协议、至少一种远控类木马验证上线的验证方法和包括所述自销毁指令的payload中的任意一种或多种的组合。

第二方面，提供了一种远控类木马清除装置，其特征在于，所述装置包括：

获取模块，用于获取网络流量中的至少一个数据包；

匹配模块，用于根据预设的通信特征规则库对所述至少一个数据包进行匹配，得到命中的数据包；

牵引模块，用于将包括所述命中的数据包的流量牵引至远控类木马反制装置；

中间人模块，用于所述远控类木马反制装置通过流量回注与所述远控类木马的被控端建立连接并发送自销毁指令；

销毁模块，用于所述远控类木马接收所述自销毁指令后执行销毁。

结合第二方面，在第一种可能的实施方式中，所述装置还包括通信特征构建模块，用于：

提取payload中至少一段字节码作为主要特征；

提取网络报文中的至少一个属性特征；

将所述主要特征和所述属性特征组合形成识别远控类木马的通信特征。

结合第二方面，在第二种可能的实施方式中，所述匹配模块具体用于：

对所述数据包进行重组、解压和解密，并与所述预设的通信特征规则库中的通信特征进行匹配；

若所述数据包中通信特征与所述预设的通信特征规则库中的通信特征相同，则判定所述数据包为所述命中的数据包。

结合第二方面，在第三种可能的实施方式中，所述牵引模块具体用于：

根据反制策略，得到所述流量的信息；

根据所述流量的信息将所述流量牵引至远控类木马反制装置；其中，所述流量的信息包括根据反制策略得到的远控类木马种类、远控类木马版本和协议端口中的任意一种或多种的组合。

结合第二方面，在第四种可能的实施方式中，所述牵引模块具体用于：

根据反制策略，得到所述流量的信息；

根据所述流量的信息将所述流量牵引至远控类木马反制装置；其中，所述流量的信息包括根据反制策略得到的远控类木马种类、远控类木马版本和协议端口中的任意一种或多种的组合。

本发明实施例提供了一种远控类木马清除方法及装置，通过构建远控类木马的通信特征库，可以在流量中识别木马数据包，准确度高，识别效率高；通过将命中的流量牵引至反制装置，可以通过反制装置的设置来改变网络环境中的参数，达到真实模拟主控端到目的；通过采用流量回注技术，模拟主控端与被控端建立连接，从而向被控端的木马发送销毁指令，可以彻底销毁木马程序，提高网络安全性。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明一优选实施例提供的远控类木马清除方法流程示意图；

图2是本发明另一优选实施例提供的远控类木马清除装置结构示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

参见图1，在一优选的实施例中提供了一种远控类木马清除方法，尤其是一种基于网络侧流量回注技术的远控类木马清除方法，其中，流量回注技术可以是任意方式，包括但不限于以下：策略路由、MPLS VPN、二层透传和双链路等。具体包括以下方法：

S101、获取网络流量中的至少一个数据包。

具体地，采用流量采集设备DPI对网络流量中的数据包进行采集。在一个完整的网络通信中，主控端与被控端之间采用会话的形式进行通信，包括收发的请求包和响应包。DPI采集到的数据包可以是请求包也可以是响应包，可以是一般数据包也可以是木马通信的数据包。

S102、构建预设的通信特征规则库。

具体地，提取有效载荷数据payload中至少一段字节码作为主要特征；

提取网络报文中的至少一个属性特征；

将主要特征和属性特征组合形成识别远控类木马的通信特征。

其中，网络报文的属性特征包括：数据包的大小、协议、五元组限定、请求包/应答包限定和时间间隔等中的任意一个或多个的组合。

其中，有效载荷数据payload通过分析、解密远控类木马的通信协议得到。

通过将主要特征与属性特征的组合构建特定远控类木马的通信特征，融合了远控类木马的数据特征和网络报文的数据特征，可以唯一标识远控类木马和识别木马所在的网络环境。通信特征中的数据排列与存放方式可以参照一般的数据包中的数据排列与存放方式，在此不做具体限定。在构建的通信特征规则库中，通信特征的组合方式可以任何组合，针对复杂的木马通信特征，可以通过多个通信特征来共同表征和识别。

可选的，S102可以在S101之后，也可以在S101之前，执行顺序不做具体限定。

S103、根据预设的通信特征规则库对至少一个数据包进行匹配，得到命中的数据包。

具体地，对数据包进行重组、解压和解密，并与预设的通信特征规则库中的通信特征进行匹配；

对数据包进行重组、解压和解密后，将得到的数据信息与通信特征规则库中的通信特征依次进行匹配。可选的，为了提高匹配的效率，可以先匹配网络报文的属性特征，待确定后，在逐项匹配主要特征。

若数据包中通信特征与预设的通信特征规则库中的通信特征相同，则判定数据包为命中的数据包。否则，结束本方法的执行。

其中，命中的数据包为包含通信特征的木马数据包。

S104、将包括命中的数据包的流量牵引至远控类木马反制装置。

具体地，根据反制策略，得到流量的信息；

根据流量的信息将流量牵引至远控类木马反制装置；其中，流量的信息包括根据反制策略得到的远控类木马种类、远控类木马版本和协议端口中的任意一种或多种的组合。

其中，在S103中命中的流量可以在重组、解压和解密后识别远控类木马种类、远控类木马版本和协议端口，根据得到的上述信息制定反制策略，从而将上述命中的流量牵引至木马反制装置的对应端口。

S105、远控类木马反制装置通过流量回注与远控类木马的被控端建立连接并发送自销毁指令。

具体地，远控类木马反制装置模拟远控类木马的主控端；

当接收包括命中的数据包的流量后，建立与远控类木马的被控端之间的连接；

向远控类木马的被控端发送所述自销毁指令；其中，远控类木马反制装置包括至少一种远控类木马的主控端的通信协议、至少一种远控类木马验证上线的验证方法和包括所述自销毁指令的payload中的任意一种或多种的组合。

远控类木马反制装置包括硬件设备和软件环境，在软件环境方面可以通过软件模拟多种已知的远控类木马主控端部分通信协议，并且预先设置了多种登录上线的验证方法和自销毁指令的payload，当接收通过流量牵引而来的命中的流量后，可以模拟远控类木马主控端，对网络参数实时修改，主动建立与被控端的连接。在模拟主控端与被控端建立连接的过程实质是发起中间人攻击的过程，区别于封堵技术和蜜蜡技术对远控类木马主控端的接管，中间人攻击采用的是直接与被控端建立连接。在模拟主控端与被控端建立连接后，远控类木马反制装置可以将预设的自销毁指令发送至被控端。

S106、远控类木马接收自销毁指令后执行销毁。

运行在被控端的远控类木马接收到发送的自销毁指令后，执行自销毁任务，彻底销毁运行的木马程序。在销毁过程中运行于后台，不影响被控端设备的正常显示和运行。

本发明实施例提供的一种远控类木马清除方法，通过构建远控类木马的通信特征库，可以在流量中识别木马数据包，准确度高，识别效率高；通过将命中的流量牵引至反制装置，可以通过反制装置的设置来改变网络环境中的参数，达到真实模拟主控端到目的；通过采用流量回注技术，模拟主控端与被控端建立连接，从而向被控端的木马发送销毁指令，可以彻底销毁木马程序，提高网络安全性。

参照图2所示，在本发明另一优选的实施例中，提供了一种远控类木马清除装置，该装置包括：

获取模块201，用于获取网络流量中的至少一个数据包；具体地，采用流量采集设备DPI获取网络流量中的至少一个数据包。

匹配模块202，用于根据预设的通信特征规则库对至少一个数据包进行匹配，得到命中的数据包。

牵引模块203，用于将包括命中的数据包的流量牵引至远控类木马反制装置。

中间人模块204，用于远控类木马反制装置通过流量回注与远控类木马的被控端建立连接并发送自销毁指令。

销毁模块205，用于远控类木马接收自销毁指令后执行销毁。

其中，该装置还包括通信特征构建模块206，用于：

提取payload中至少一段字节码作为主要特征；

提取网络报文中的至少一个属性特征；

将主要特征和属性特征组合形成识别远控类木马的通信特征。

具体地，匹配模块202具体用于：

对数据包进行重组、解压和解密，并与预设的通信特征规则库中的通信特征进行匹配；

若数据包中通信特征与预设的通信特征规则库中的通信特征相同，则判定数据包为命中的数据包。

具体地，牵引模块203具体用于：

根据反制策略，得到流量的信息；

根据流量的信息将流量牵引至远控类木马反制装置；其中，流量的信息包括根据反制策略得到的远控类木马种类、远控类木马版本和协议端口中的任意一种或多种的组合。

中间人模块204具体用于：

远控类木马反制装置模拟所控类木马的主控端；

当接收包括命中的数据包的流量后，建立与远控类木马的被控端之间的连接；

向远控类木马的被控端发送自销毁指令。

其中，远控类木马反制装置包括至少一种远控类木马的主控端的通信协议、至少一种远控类木马验证上线的验证方法和包括所述自销毁指令的payload中的任意一种或多种的组合。

本发明实施例提供了一种远控类木马清除装置，通信特征构建模块206通过构建远控类木马的通信特征库，可以在流量中识别木马数据包，准确度高，识别效率高；牵引模块203通过将命中的流量牵引至反制装置，可以通过反制装置的设置来改变网络环境中的参数，达到真实模拟主控端到目的；中间人攻击模块204通过采用流量回注技术，模拟主控端与被控端建立连接，从而向被控端的木马发送销毁指令，销毁模块205接送上述销毁指令后可以彻底销毁木马程序，提高网络安全性。

需要说明的是：所述实施例仅以所述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将所述功能分配由不同的功能模块完成，即将装置的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。另外，所述实施例提供的远控类木马清除方法和装置属于同一构思，其具体实现过程详见实施例，这里不再赘述。

以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。